No161 正しく怖がるインターネット(フィッシングサイト編)
先日、こんな話を聞きました。
とある方が外出でお店に入るときに体温検査をされたという話を
会社でしたところ、その話を聞いた方の一人が「あなた、コロナに
かかってるんじゃないの?近づかないで」と発言し、それ以降、別室
で作業をさせられる羽目になったとか。
そりゃ、外出すればウイルスをもらってこないとも限りません。
そもそも会社に出勤している時点で多数の方と接触しているわけ
ですから、外出を針小棒大に考えるのも極端な話です。
こういった話は情報セキュリティの世界にもあります。
今回は「正しく怖がるインターネット」と称して、正しい情報を
得る方法について解説します。
1. 正しく怖がるインターネット
インターネットは道具です。
道具ですから正しい使い方を知らないといけません。
間違った使い方は危険だったり思いがけない失敗を引き起こし
ます。
インターネットの場合なら、正しい知識が鍵となります。
正しい知識というと難しい技術用語を覚えなければいけない
ように感じるかもしれませんが、一番大切なのはその技術の
目的を知ることです。
細かな技術用語を知る必要がないとは言いませんが、それ
よりもその技術の目的や今までの経緯の方がずっと大切です。
理由は二つあります。
一つは「目的」を知っていればウソ情報に気づきやすい点、
もう一つは「目的」は陳腐化しにくい点です
今回は、フィッシングサイトや詐欺サイトに焦点を当てて
「正しく怖がる」方法をお伝えします。
補足(タイトル「正しく怖がるインターネット」について)
今回のタイトルは筆者のオリジナルではなく、小木曽健氏の
著書「正しく怖がるインターネット」の流用です。
もちろん、以下の内容は筆者のオリジナルですがこの表現が
とても好きなので使わさせていただきました。
2. フィッシングサイト(詐欺サイト)とは
フィッシングサイトというのはフィッシングメール(詐欺メール。
詳しくは文末参照)のリンクをクリックした時に表示されるWeb
ページ(ホームページ)があるサイトのことで、詐欺師が運営を
しています。
こういったフィッシングサイトではいかにも本物のように見せる
ために、見た目だけは本物そっくりに作ってあり、画面を見ても
本物と見分けがつきません。
多くの場合、フィッシングサイトの目的は利用者のIDやパスワード
をだまし取ることですから、ニセモノとすぐにわかる画面では誰も
ひっかかってくれませんものね。
こんなフィッシングサイトをどうやれば見分けられるのでしょう?
3. 迷惑なデマ報道
2019年の9月からこのようなフィッシング詐欺が大流行した時期が
ありました。たくさんの人々が「信頼できるサイトの見分け方」
を解説していました。
そんな中、以下の記事が発表されました。
気象庁を装った偽メール問題 専門家が「信頼できるサイト」の
見分け方を解説
https://times.abema.tv/posts/7027280
これが発表されるや、セキュリティ関係者の間で「これはマズい」
という話が広まりました。
というのは、一般の人がこの解説を信じるとむしろフィッシング
詐欺の被害が大きくなるのではないか?と心配される内容だった
ためです。
特に多くの方が指摘していたのが以下の一文です。
(以下引用)
信頼できるWebサイトの見分け方のポイントは「アドレスバーに
カギのアイコンが付いているかどうか」ということ(Google
Chromeの場合)で、カギのアイコンが付いているWebサイトで
緑色になっていれば「ある程度の安全の指標」になるが「注意
は必要だ」とコメントした。
なぜ、「これはマズい」という話になったかということですが、
ここでいう「カギのアイコンがついているかどうか」が詐欺サイト
の見分け方として、有効とはいえない方法だったからです。
4. 正しく怖がろう
この記事をケーススタディとして、「正しく怖がる」方法を考えて
みます。
まずは、この記事の言わんとしていることを確認しましょう。
「カギのアイコンがついている」という意味をわかっておく必要が
ありそうです。
5. 困ったときのgoogle頼み
わからないコトバについてはGoogleという便利な道具を積極的に
使いましょう。
Googleで「chrome カギ アイコン 意味」で調べますとどうやら、
これがSSLという暗号化にかかわっているマークらしいというの
がわかります。
では、次に調べるべきはそのSSLとは何か?という話です。
今度はGoogleで「SSL 目的」で調べてみましょう。
するとコトバは難しいですが「インターネット上のデータ通信を
暗号化することで第三者から盗聴を防ぎます」といった解説が
見つかります。
あれ?なんか変な感じがしませんか?
SSLというのは盗聴がされない仕組みだとしか書いてなかったです
よね?
盗聴されない仕組みで、どうやってフィッシングサイトの識別が
できるのでしょう?
と、考えますと「この記事信頼できるのか?」という疑問が起きて
こないでしょうか?
6. 記事が常に正しいとは限らない
とすれば、次に行うべきは、この記事の正しさの確認です。
記事に読者からの投稿欄がある記事なら、そちらで厳しいツッコミ
がされていることでしょう。
そうでない場合は、上述のURLをGoogleで検索してみましょう。
(アドレスバーではなくGoogleの検索窓にURLを入力します)
すると、元の記事だけでなく、この記事を検証した別の記事や
当時のまとめサイトなどが一覧表示されます。
7. セキュリティ情報の検索
やや、余談になりますが、 情報セキュリティの検索では鮮度を重視
するようにしてください。
例えばこんな感じです。
1年以内の記事 → おおむね信頼できる。
2年以内の記事 → 一部古くなって(間違って)いる
5年以内の記事 → おおむね古くなって(間違って)いる
5年以上前の記事 → 古すぎて参考にならない
もちろん、古くても信頼できる例外はたくさんありますが、知らない
うちはこれぐらい疑ってかかった方が安全です。
8. 思考停止は甘い罠
今回の一連の検索で得たものはなんでしょうか?
それは、「SSLというのはサイト間の通信内容を暗号化するものだ。
でも相手が信頼できることを知るためのものではない」ということ
です。
実はSSLは20年以上前から存在している技術で、その根幹の考え方
は全く変わっていません。
ですが、これをステレオタイプ的にSSL=暗号化=安全、と覚えて
しまうと上記の記事を読んで、カギのアイコンの意味を調べても
「そうかSSLだから安全なんだ」と考えてしまいがちです。
こういった思考停止は甘い罠です。そこで止めればそれ以上、考え
なくてすみますからね。
ただ、思考停止は事実をたどりつけなくなるのも事実です。
とはいいながら、筆者もしょっちゅうこの罠にかかっています。
思考停止に陥らない、良い方法ってないものでしょうかね。
今回の「正しく怖がるインターネット」は今後も機会を見つけて
シリーズ化していこうと思います。
いつものような解説だけでなく、調べ方の手順なども書くように
して、皆さんの役に立つような記事にしていきたいと思います。
次回もお楽しみに。
----------
今回登場した用語
----------
○フィッシングメール
フィッシングメール(phishing mail)は造語。
もともとはfishing mail(獲物を釣り上げるためのメール)を、
'f'と同じ発音の'ph'に入れ替えて俗語として使い始めたもの。
(諸説あるが)
端的に言えば詐欺メールのこと。
本物そっくりなWebページ(ホームページ)を犯罪者側は用意し、
もっともらしい理屈(IDが停止になる、不正利用された形跡が
ある)の内容で無差別に送り付けるメールのこと。
通常、フィッシングメールにはトラブル回避のためのリンク
(URL)がついており、それをクリックすると犯罪者側が用意し
たページが表示される。ID停止や不正利用といった事実はなく、
ただ犯罪者がIDやパスワードを盗み取ることが目的である。